Viele Firmen sind auf Hacker-Angriffe schlecht vorbereitet
Vielen Firmen gelingt es offenbar nicht, sich ausreichend gegen Hacker-Angriffe zu schützen, berichtet der Spiegel. Aufgrund des technologischen Wandels werden mobile Endgeräte, Cloud-Computing und Social Media in Firmenstrategien integriert, jedoch mangelt es an passenden Sicherheitskonzepten.
Das geht aus einer branchenübergreifenden Studie der Beratungsfirma Ernst & Young hervor, nach der 84 Prozent der befragten Unternehmen angaben, dass ihre Informationssicherheit mangelhaft sei, obwohl knapp ein Drittel berichtet, Attacken auf ihre IT-Infrastruktur würden zunehmen. Dennoch verfügen 63 Prozent der Unternehmen über kein formales Sicherheitskonzept und haben auch keins in Planung. Selbst in den Führungsetagen spielt das Thema nur eine untergeordnete Rolle, lediglich bei rund der Hälfte der Unternehmen beschäftigt sich die Firmenleitung mit dem Thema Datensicherheit. Befragt wurden 1.836 Manager aus 64 Ländern.
Demzufolge ist es wenig verwunderlich, dass die EU-Kommission die geplante Richtlinie zur Netz- und Informationssicherheit (NIS) auch gegen den Widerstand von Unternehmen durchsetzen will. Diese enthält unter anderem eine Meldepflicht von Cyber-Angriffen und gilt für die Betreiber von kritischer Infrastrukturen (Finanzdienste, Verkehr, Energie und Gesundheitswesen) sowie die Betreiber von zentralen IT-Diensten (vor allem App-Stores, eCommerce-Plattformen, Internet-Zahlungen, Cloud-Computing, Suchmaschinen, soziale Netze) und für die öffentliche Verwaltung. Zur Umsetzung soll die zuständige Behörde eines Mitgliedsstaates mit ausreichend Ressourcen ausgestattet werden.
Insbesondere die Meldepflicht für zentrale IT-Dienstleister geht den Unternehmen jedoch zu weit. So begrüßt etwa der IT-Branchenverband Bitkom die EU-Strategie zwar grundsätzlich, allerdings sollten die gesetzlichen Meldepflichten für größere IT-Sicherheitsvorfälle den Betreibern kritischer Infrastruktur vorbehalten werden. Für die Anbieter gängiger Internetdienste sei eine Meldepflicht allerdings nicht gerechtfertigt: Neben dem bürokratischen Aufwand würden viele Unternehmen einen Imageschaden befürchten, wenn IT-Sicherheitsvorfälle öffentlich bekannt werden.
Stattdessen wirbt der Bitkom nach wie vor für ein freiwilliges und anonymes Meldeverfahren, das der Verband im Rahmen einer „Allianz für Cybersicherheit“ und in Zusammenarbeit mit dem BSI entwickelt hat. Fraglich ist allerdings, ob sich die EU-Kommission von der Initiative sonderlich beeindrucken lässt.